ホーム
Security (セキュリティー)
様々なセキュリティー機能を構成して、BigFix Inventory 使用時にデータ・モデルに含まれるビジネス資産とリソースを適切に保護します。
シングル・サインオン (SSO) の構成と有効化
9.2.1 以降で使用可能。2 要素認証と SSO を使用して BigFix Inventory にログオンし、企業内の他のアプリケーションとのログインの一貫性を維持することができます。2 要素認証と、Security Assertion Markup Language (SAML 2.0) トークンの交換に基づくシングル・サインオンを併用し、ID プロバイダーとして Microsoft™ Active Directory フェデレーション・サービスを使用するように BigFix Inventory を構成できます。あるいは、IBM Lightweight Third-Party Authentication (LTPA) テクノロジーを使用し、認証サービスとして IBM Security Access Manager for Web を使用することもできます。
オプション 1: Security Assertion Markup Language トークンに基づくシングル・サインオンの構成
Security Access Markup Language (SAML 2.0) トークンおよび外部 ID プロバイダー・サーバーに基づいて、シングル・サインオンを構成できます。

Security (セキュリティー)
様々なセキュリティー機能を構成して、BigFix Inventory 使用時にデータ・モデルに含まれるビジネス資産とリソースを適切に保護します。
- データのフロー
  BigFix Inventory インフラストラクチャーのコンポーネント間、およびユーザーとツールの間では、いくつかの異なる相互作用が行われます。
- セキュリティー設定のシナリオ
  サポートされる各セキュリティー・シナリオを実現するために BigFix サーバーおよび BigFix Inventory サーバーで有効にする必要があるセキュリティー・オプションについて確認します。
- データベース接続暗号化の構成
  BigFix Inventory サーバーと BigFix Inventory データベースの接続を暗号化できます。暗号化は、JDBC ドライバーを使用して、BigFix Inventory サーバーとデータベース・エンジンの間に確立します。サーバーのアップグレード中に接続を暗号化できます。
- セキュア通信の構成
  セキュアな接続を確保するために、BigFix Inventory では、公開鍵暗号方式を使用します。この方式は、秘密鍵および公開鍵という 2 つの別々の鍵を使用するアルゴリズムを基盤としています。この鍵ペアは、通信の暗号化および暗号化解除に使用されます。
- 連邦暗号化標準への準拠
  暗号化に関する連邦情報処理標準要件に準拠するように、BigFix Inventory を構成できます。
- LDAP を使用したユーザーの認証
  BigFix Inventory は、Lightweight Directory Access Protocol (LDAP) サーバーを使用した認証をサポートします。この機能を使用するには、BigFix Inventory サーバーを構成する必要があります。
- シングル・サインオン (SSO) の構成と有効化
  9.2.1 以降で使用可能。2 要素認証と SSO を使用して BigFix Inventory にログオンし、企業内の他のアプリケーションとのログインの一貫性を維持することができます。2 要素認証と、Security Assertion Markup Language (SAML 2.0) トークンの交換に基づくシングル・サインオンを併用し、ID プロバイダーとして Microsoft™ Active Directory フェデレーション・サービスを使用するように BigFix Inventory を構成できます。あるいは、IBM Lightweight Third-Party Authentication (LTPA) テクノロジーを使用し、認証サービスとして IBM Security Access Manager for Web を使用することもできます。
  - オプション 1: Security Assertion Markup Language トークンに基づくシングル・サインオンの構成
    Security Access Markup Language (SAML 2.0) トークンおよび外部 ID プロバイダー・サーバーに基づいて、シングル・サインオンを構成できます。
    - ステップ 1:BigFix Inventory でのシングル・サインオン設定の構成
      最初のステップとして、BigFix Inventory でシングル・サインオン設定を構成します。
    - ステップ 2: シングル・サインオンのための ID プロバイダーの構成
      2 番目のステップとして、ID プロバイダーからの要求をコンシュームする依拠当事者として、BigFix Inventory サーバーを構成します。BigFix Inventory からダウンロードした spMetadata.xml ファイルに基づいて構成を実行します。
    - ステップ 3: SAML シングル・サインオンの有効化
      最後のステップとして、BigFix Inventory Web ユーザー・インターフェースでシングル・サインオンを有効にします。
    - SAML の無効 SSO 構成を戻す
      アプリケーションへのログインに問題がある場合は、シングル・サインオンが無効であるデフォルト SAML SSO 構成に戻すことができます。
  - オプション 2: LTPA に基づく SSO の構成
    IBM Lightweight Third-Party Authentication (LTPA) に基づくシングル・サインオンを ® IBM Security Access Manager for Web で構成できます。
  - シングル・サインオン・ユーザーの作成
    シングル・サインオンを使用して認証プロセスを完了するには、後で BigFix Inventory にログインできるユーザーを作成する必要があります。
  - BigFix Inventory サーバーからのログアウト
    BigFix Inventory ユーザー・インターフェースからログアウトするには、単にブラウザー履歴をクリアしてブラウザーを再始動します。
  - シングル・サインオン構成の無効化
    「シングル・サインオン設定」ペインで、SSO 構成を無効化できます。
  - シングル・サインオン構成の削除
    「シングル・サインオン設定」ペインで、SSO 構成を削除できます。
  - シングル・サインオンが有効になっている BigFix Inventory でのポートの変更
    シングル・サインオンが有効なときに BigFix Inventory の「サーバー設定」ペインでポート番号を変更すると、シングル・サインオン構成が無効になります。ポートを適切な方法で変更するには、シングル・サインオンの構成手順を繰り返す必要があります。
  - SSO 鍵ストアのパスワードおよび暗号化の構成
    SSO 鍵ストアの固有のパスワードを構成し、AES 暗号化アルゴリズムを使用してそのパスワードを暗号化します。
- パスワードおよび暗号化メカニズムの構成
  アプリケーション・セキュリティーを向上させるために、ユーザー・パスワードのセキュリティー・ポリシーを定義します。パスワードが保管されている鍵ストアと BigFix Inventory データベースのパスワードおよび暗号化メカニズムも構成できます。
- ユーザー・アカウントのロックアウトの構成
  9.2.8 以降で使用可能。デフォルトでは、ユーザーが 5 分以内に 10 回を超えて BigFix Inventory にログインしようとした後に、ユーザー・アカウントは 5 分間ロックされます。デフォルト設定を変更したり、ユーザー・アカウントのロックアウトを無効にしたりすることができます。
- 信頼できる VM マネージャー証明書を受け入れるためのVM Manager toolの構成
  デフォルトで、VM Manager toolは、信頼できるかどうかに関係なく、すべての VM マネージャー証明書を受け入れます。デフォルトの動作を変更して、信頼できる証明書のみをVM Manager toolが受け入れるようにすることができます。
- リレー
  リレーにより、サーバーのアップストリームとダウンストリームの両方の負荷が軽減されます。サーバーと直接通信する代わりに、指定のリレーと通信するようにクライアントに指示できます。これにより、サーバーの負荷が大幅に軽減され、クライアントとサーバーの間のネットワーク・トラフィックが大幅に削減されます。

オプション 1: Security Assertion Markup Language トークンに基づくシングル・サインオンの構成

Security Access Markup Language (SAML 2.0) トークンおよび外部 ID プロバイダー・サーバーに基づいて、シングル・サインオンを構成できます。

以下のエンティティーが、認証データの交換に関与します。

アプリケーション・ユーザー: 1 つのドメイン内で複数のアプリケーションを使用し、それらのアプリケーションに対してシングル・サインオンを行うことを望むユーザー。
サービス・プロバイダー: 認証サービスを要求するアプリケーション。この場合、BigFix Inventory です。
Identity Provider: アプリケーション・ユーザーを認証するサービス。BigFix Inventory は Active Directory フェデレーション・サービスのみをサポートします。

Web ユーザーが SAML ID プロバイダーに対して認証を行うと、SAML ID プロバイダーは SAML アサーションを作成します。SAML アサーションは、XML 形式のトークンであり、シングル・サインオン要求の一環として、ユーザーの ID プロバイダーから信頼できるサービス・プロバイダーに、ユーザーの ID および属性に関する情報を転送するために使用されます。サービス・プロバイダーは、その SAML アサーションを使用して、Web ユーザーのセキュリティー・コンテキストを確立します。

以下の図では、SAML トークンの交換に基づく一般的なシングル・サインオンで行われるステップを示します。 Security Access Markup Language トークンの交換

Security Access Markup Language トークンの交換

手順

次のシナリオは、BigFix Inventory が Active Directory フェデレーション・サービスと連携するように構成する標準的なワークフローを示します。ただし、インフラストラクチャー内でシングル・サインオンを有効にするには、別のソフトウェア・プロダクトを使用した方がよい場合があります。